黑產(chǎn)和黑社會到底還有啥區(qū)別？這是采訪完Check Point 中國區(qū)技術總監(jiān)王躍霖，與Check Point大中華區(qū)Harmony產(chǎn)品經(jīng)理王勵杰后產(chǎn)生的第一個直觀印象。黑社會綁架人進行勒索，而黑產(chǎn)的“肉票”則是數(shù)據(jù)；黑社會打、砸、搶，黑產(chǎn)則是DDoS攻擊、釣魚、滲透，非法竊取、加密目標客戶的數(shù)據(jù)，進而對客戶進行勒索。下面我們就先隨著王勵杰的介紹來看一下，黑產(chǎn)是如何一步步向黑社會的方向進行發(fā)展的。

Check Point大中華區(qū)Harmony產(chǎn)品經(jīng)理王勵杰

從廣種薄收到矛頭釣魚

既然是綁票，自然要選擇更加有價值的目標，黑產(chǎn)的數(shù)據(jù)勒索也是一樣。王勵杰用網(wǎng)絡釣魚開始為我們舉例。網(wǎng)絡釣魚，是目前常見的、隱蔽性越來越強的一種安全威脅。以前黑產(chǎn)制作一個釣魚網(wǎng)站，會幾萬人、十幾萬人的大面積進行郵件分發(fā)。這么多人里，有幾個上當?shù)娜�，就已�?jīng)算達到目的，純屬就是廣種薄收。但是現(xiàn)在，釣魚網(wǎng)站越來越狡猾、更有針對性，甚至就是專門針對某個高管或者企業(yè)內(nèi)部的關鍵人士。首先黑產(chǎn)會全面收集目標各種信息，然后有針對性的制作釣魚網(wǎng)站。這就是所謂的矛頭釣魚，或稱魚叉式網(wǎng)絡釣魚。針對個人定制，只用一次就不再用。如此一來，一些黑名單之類的安全防御方式就無法起到作用，目標對于釣魚網(wǎng)站很難進行判斷，上鉤的可能性也會大幅提升。

新世紀的網(wǎng)絡綁票

如果說矛頭釣魚只是針對個人的網(wǎng)絡詐騙活動的話，那么勒索軟件就是針對整個社會的綁架勒索了。最近幾年異常猖獗的勒索軟件也已經(jīng)變成集團化的運作。有專業(yè)黑客團伙，首先會通過釣魚等方式攻破企業(yè)內(nèi)網(wǎng)，然后伺機尋找高價值資源，釋放勒索軟件。整個攻擊過程相當復雜，耗時也會很長，會形成長期攻擊、長期威脅的態(tài)勢。

這種攻擊造成的危害也很嚴重，美國石油管道公司被勒索，有100G的企業(yè)數(shù)據(jù)外泄，最終導致整個美國東部地區(qū)的石油供應受到極大影響。由此可知黑客組織特別是勒索軟件，能夠?qū)σ粋�國家的經(jīng)濟運行造成嚴重的影響。當然，這也確實引起了美國政府的極大關注，對這個黑客組織進行追殺，導致這個黑客組織要么被捕，要么被解散。這典型案例確實把黑客能造成的影響達到了最大化，引起了所有人的重視。但黑產(chǎn)伸向企業(yè)的黑手并未就此斬斷，反而變本加厲的伸向了一般性經(jīng)營企業(yè)，一家全球肉類生產(chǎn)商也同樣遭受到了勒索威脅，無奈之下只能關閉分布在美國、加拿大、澳大利亞工廠，向黑產(chǎn)支付出高達1100萬美元。然而這還只是有勇氣站出來承認的企業(yè)，還有更多企業(yè)選擇了默不作聲，悄悄向黑產(chǎn)進行妥協(xié)。

端點安全防護能力的衰退

“黑產(chǎn)的日益猖獗，和當前日漸衰退的端點安全防護能力有著很大的關聯(lián)。以殺毒軟件為起點的端點安全防護功能，越來越難以滿足目前詭譎多變的釣魚、勒索、零日威脅的安全防護需求。”對此王勵杰繼續(xù)分析道：

在如今高度網(wǎng)絡化的時代，尤其是一些在家辦公或移動辦公的人員，他們只有對端點，比如自己的手機、電腦或云端的某個計算節(jié)點的控制權(quán)限，其他部分不在用戶的控制之下。確實對于端點安全的要求提到了一個很高的程度。

而對于殺毒軟件這種依據(jù)特征碼比對來進行安全防護的傳統(tǒng)端點安全產(chǎn)品而言，往往屬于亡羊補牢這一種類型，只能被動的在發(fā)現(xiàn)一種威脅之后，再進行相應的處理。雖然目前在端點上也會采用沙箱、AI等技術來對威脅進行預判，然而此類操作往往會占用端點上本不充裕的算力資源，造成系統(tǒng)卡頓、響應緩慢，嚴重用戶的應用體驗。

更主要的是，當前的網(wǎng)絡釣魚和勒索軟件中往往會采用很多零日威脅技術，讓傳統(tǒng)殺毒軟件無從查起，自然也就起不到阻攔與預警的作用。

端點安全的應對方案

傳統(tǒng)殺毒軟件對于端點安全防御疲軟，那么又應當如何對端點安全進行防護？Check Point中國區(qū)技術總監(jiān)王躍霖為我們提供了如下三條安全建議：

Check Point中國區(qū)技術總監(jiān)王躍霖

一、以預訪為主。殺毒軟件之所以成為事后諸葛亮，就是因為在很多情況下，都是病毒已經(jīng)在我們的電腦上之后，再去進行檢測和查殺。與其讓病毒在造成破壞之后再去挽救，最理想的狀態(tài)是在病毒傳入電腦之前提前分析攔截。

此外，預訪不僅是由外向內(nèi)，還需由內(nèi)向外。黑產(chǎn)最希望得到就是員工在企業(yè)的登錄賬號和密碼，針對這些敏感信息是否可以預先進行攔截，讓釣魚網(wǎng)站無魚可釣，也是端點安全防護的重要一點。

二、以AI驅(qū)動多層次安全。實際上，黑產(chǎn)已經(jīng)在很多入侵手段中用上了AI分析能力。從端點安全來講，如果用戶不具備這個能力，自然無法與黑產(chǎn)進行對抗。例如分析釣魚網(wǎng)站時，就可以利用AI技術從視覺相似度上進行分析，從而讓釣魚網(wǎng)站徹底現(xiàn)形。

此外，還有感染后的自動修復和恢復，這就是現(xiàn)在很熱門的概念EDR——端點檢測和響應。那前面講到勒索軟件，對勒索軟件進行偵測、自動修復，平時進行文件備份，那這個就是典型的EDR概念。

三、整合智能威脅情報架構(gòu)。比如說用戶在端點收到Email郵件后，對郵件進行檢測，但Email是從哪里來？是從我們的Email服務器轉(zhuǎn)發(fā)而來。如果把端點安全跟郵件安全整合在一起，就能把威脅消除在最初的萌芽狀態(tài)。威脅就根本進不了用戶的郵箱，這樣的整合是能夠起到更好的效果。當然，整合還需要有一個強大的威脅情報庫在后面進行后端支援。這個威脅情報庫越豐富，威脅預防的能力也就越強

威脅情報庫如果只從端點的角度去收集，對于及時性和豐富性都有局限。如果能從各個不同的角度，比如說從安全網(wǎng)關上面也收集這安全威脅，如果有這樣的能力，安全威脅的視野就變得非常非常寬闊了。

最后一點，基于云做統(tǒng)一安全管理。云端將會在在未來的端點安全防護中，為用戶提供強有力的支撐。比如端點算力有限，進行沙盒、AI類的分析往往力不從心，這時可以借助云端的充足算力對威脅進行分析，客戶端上只需要部署一個輕量級的應用程序就可以完成端點安全防護工作。

此外還有面向端點檢測和響應的EDR，本身就是跨越企業(yè)內(nèi)部所有的端點去做整體的安全分析。將EDR架構(gòu)部署到云端，通過云端平臺實現(xiàn)大數(shù)據(jù)集成、統(tǒng)一進行關聯(lián)分析，就可以完全摸清黑客的入侵路線，得到威脅事件的完整鏈條。從而達到基于云的統(tǒng)一管理，實現(xiàn)最理想的端點安全防護效果。

最后，王躍霖強調(diào)：端點安全只是整個網(wǎng)絡安全中的一個部分。我們要綜合分析，從各個不同的維度進行統(tǒng)一的情報分析。在對用戶的網(wǎng)絡側(cè)、終端、云端等各個方面的威脅進行統(tǒng)一的情報分析，反過來提升整體的威脅防護能力，這樣才能更好的與黑色產(chǎn)業(yè)鏈進行對抗，保護好用戶的數(shù)據(jù)安全。